etee
En Bref
- 公司花费比以往任何时候,以防止网络攻击,但这可能会产生安全的错觉。
- 投资优秀的技术是有帮助的,但这还不够。公司仍然会因为一系列的失误而让自己变得脆弱,比如未能将投资重点放在最重要的资产上,或者没有为员工和合作伙伴提供良好的培训。
- 只有持续致力于建立广泛的战略能力和发展网络安全成熟度,才能具备真正的弹性。
很少有高管需要被告知,网络安全是一个关键问题,是保护组织资产和声誉的核心问题。企业正投入比以往任何时候都多的资金,以了解自己的弱点,部署最新的安全解决方案,并聘用强大网络防御所需的人才。我们的研究发现,在过去三年里,97%的大公司都接受过网络安全审计或评估,70%的大公司定期升级大多数网络安全技术,四分之三的大公司的高级管理人员完全专注于网络安全,通常是首席信息安全官。
尽管有这样的投资,我们的研究发现,许多公司继续高估他们的网络安全的有效性,因为他们没有把握挑战的复杂性。具体来说,许多公司并没有开发强大的网络安全所必需的长期战略能力。事实上,大多数人都在努力遵循简单的最佳实践。只有43%的高管认为他们的公司遵循了网络安全的最佳做法,但更深入的分析发现,只有约24%的公司实际上达到了这一标准。这一差距表明,很多高管和公司认为,他们受到的保护比实际情况更好。与此同时,预计到2021年,网络攻击每年将给企业造成6万亿美元的损失,是2015年的两倍。
在对数据泄露的事后分析中,一个熟悉的模式一次又一次地出现:尽管高管们高度重视网络安全技术,并在网络安全技术上进行了大量投资,但企业仍然容易受到攻击,这些弱点被无情地利用。许多入侵事件的一个关键因素是,领导者从根本上误解了良好网络安全的特征,他们低估了实现这一目标所需的严格程度。因此,他们在战术层面上处理这个问题,勾选复选框,而不是承担建立深度和战略能力的严肃工作,以实现真正的网络弹性。
确定共同的弱点
在某种程度上,高管似乎了解他们的网络安全态势的限制:安全公司FireEye的在最近的一次调查中,略超过半数的受访者不相信他们的组织会很好地网络攻击做出回应。值得关注的是必要的。一个事物的大量工作需要很好地实现网络安全的弹性,并且这种复杂性可以压倒高管和误导他们的焦点(见图1)。
一系列常见的错误削弱了网络安全
他们寻找解决方案的第一个地方通常是技术。大公司使用数十种产品和服务来满足他们的需求,他们投资于政策和标准,以确保他们的防御保持主动和最新。更大的挑战在于确保一致性,以便在复杂的全球组织中适当地应用政策和标准。即使应用简单的安全补丁,大型组织也可能需要几个月甚至几年的时间才能完成,从而使系统在过渡期间处于脆弱状态。近年来,一些大规模的入侵是由于未能针对已知的漏洞更新web服务器。
技术只是箭筒中的一支。由于许多网络攻击都是从利用员工行为的弱点开始的,因此教育也至关重要。在我们调查的公司中,只有不到一半的公司定期为员工提供网络安全方面的培训,更令人惊讶的是,只有55%的公司为他们的网络安全专业人员提供足够的培训。
第三方风险是另一个常见的漏洞,但只有不到一半的公司定期评估其供应商和合作伙伴的安全状况。
只有58%的高管一直在努力提高网络安全治理与业务目标之间的一致性。
大多数公司投资审计,是为了让领导者了解公司的网络安全状况,但审计也可能专注于表面问题,一旦发现的漏洞被逐一解决,就会导致一种虚假的安全感。审核应有助于验证项目交付和结果;它们不应作为定义项目或网络安全战略的主要输入。
最后,高管们很难理解他们应该在网络安全上花多少钱。可靠的行业基准很难找到,所以很多网络安全团队试图根据现有信息与同行调整支出。大多数公司只是滚动预算或每年增加预算,但很少有公司根据实际的威胁环境对网络安全支出采取零基础的方法。
构建成熟的功能
虽然所有这些方面的网络安全都需要解决,但没有一个能够单独或共同建立强大的弹性。长期解决方案需要将网络安全重新定义为一组战略能力,可以随着时间的推移建立和改进,以不断应对不断演变的网络攻击威胁。无论是技术解决方案、第三方服务,还是遵循行业标准,都不能取代实现网络安全成熟度的全面方法(参见图2)。
为了增强网络弹性,企业需要在20个关键领域发展能力
建立这些能力成熟度的适当水平接管几个月甚至几年的持续努力,但企业可以按照一套明确的不连续的步骤实现其网络安全成熟度的目标。
- 制定一个基准。通过测量整个20个功能范围的当前成熟度级别,了解您从哪里开始。
- 确定基准,并确定功能的目标成熟度级别。为您的公司建立正确的目标能力成熟度级别,并记住,需要不同保护的行业、地区、关键资产、基准和当前的威胁环境都将产生影响。
- 定义一个路线图,并开始遵循它。首先解决最关键的能力成熟度的差距,特别是那些关注你最宝贵的资产。然后定义更全面的措施,以加强在其他关键领域的能力。就拿超过了18到36个月内不超过10项举措。
- 加强对持续改进的承诺。重新评估能力需求和成熟度级别上定期。刷新网络安全战略路线图,以建立在需要的地方能力成熟度,并确保该计划获得足够的资金。
最后,持续评估的一部分是了解通过网络安全保险可以并应该减轻何种程度的风险。再多的保险也无法弥补重大的、非常明显的安全漏洞造成的损害,但保险是网络安全风险管理中不可或缺的组成部分。FireEye发现,在接受调查的公司中,有一半已经为这类风险投保,另有41%计划在未来18个月增加保险。
作为一个整体,这种方法建立网络安全能力成熟度是一个简单的过程,而不是与其他转型的举措,但经验表明,它可能需要持续关注和多年带来的能力水平,符合公司的实际需要承诺.最重要的一步是第一个:行政团队必须开始应付挑战的规模和承认,在大多数情况下,他们都在做网络安全的周围可能是不够的。了解这一点,高管可以采取必要的措施,以增加他们的网络弹性,保护他们的组织,其资产及其利益相关者。
弗兰克·福特(Frank Ford)是贝恩公司企业技术业务的合伙人,赛义德·阿里(Syed Ali)是专家副总裁。BOB体育app弗兰克在伦敦,赛义德在休斯顿。